По данным Авто Mail, руководитель продукта Solar Dozor Али Гаджиев пояснил, что сервисы аренды автомобилей получают от клиента базовый набор персональных данных: ФИО, телефон и адрес электронной почты. Но на этом сбор информации не заканчивается, поскольку для допуска к машине нужны документы и подтверждение личности.
К наиболее чувствительным данным относятся сведения водительского удостоверения и фотографии пользователя с раскрытым паспортом. В статье отмечается, что такие материалы фактически имеют признаки биометрии и требуют особенно строгого хранения.
Отдельный массив формируют геолокация, история аренды, адреса начала и завершения поездок, время использования автомобиля и координаты парковок. В профиле также могут храниться данные привязанных банковских карт и информация о стиле вождения.
Как эти данные используют злоумышленники
Основной сценарий — адресный фишинг. Если преступники знают дату поездки, модель автомобиля и детали маршрута, им проще убедить водителя, что звонок связан с реальным событием: например, с якобы зафиксированным ДТП, нарушением правил парковки или крупным штрафом.
После этого жертву могут попытаться склонить к передаче кода из SMS. В легенде мошенников такой код нужен для отмены штрафа, блокировки передачи дела или подтверждения личности, хотя на деле он может открыть доступ к аккаунтам или финансовым операциям.
Фотографии с паспортом создают другой риск: их могут использовать для регистрации подставных профилей в сервисах аренды или для попыток оформить микрозайм на имя владельца документов. Еще один возможный сценарий — шантаж на основе истории поездок, если маршруты раскрывают нежелательные для публикации адреса.
ГК «Солар» в отдельной публикации о DLP-системе Solar Dozor сообщала, что в 2024 году ее эксперты проанализировали 230 инцидентов информационной безопасности. По этим данным, 82% инцидентов в организациях связаны с ошибками сотрудников, а 18% — с умышленными действиями.
- 35% инцидентов с утечками приходилось на мессенджеры;
- 15% — на публикацию данных в открытых источниках, облаках и файлообменниках;
- 12% — на съемные носители;
- еще 12% — на демонстрацию экрана третьим лицам во время видеоконференций;
- около 3% — на печать документов.
В материале Авто Mail отдельно отмечается, что крупная клиентская база может занимать всего несколько десятков мегабайт и помещаться в файл Excel или CSV. Если компания не контролирует внутренние каналы передачи данных, такой файл можно попытаться отправить наружу, в том числе в архиве с паролем.
Для снижения риска каршеринговые компании используют технический контроль и обучение персонала. В качестве примера приведен «Делимобиль»: сервис соблюдает требования законодательства о персональных данных и информации, а также стандарты PCI DSS для платежной инфраструктуры.
Для защиты от внутренних утечек применяются DLP-инструменты, которые анализируют содержимое файлов, фиксируют отправителя, канал и время передачи, а при нарушении политики безопасности могут заблокировать пересылку базы через мессенджер, выгрузку на флешку или отправку на личную почту.
Полностью запрещать обмен документами в рабочих процессах не всегда возможно, поэтому в примере с «Делимобилем» используется мониторинг облачных хранилищ и ссылок на папки. Дополнительно сотрудников обучают правилам информационной безопасности: новые работники проходят курс и экзамен, действующий персонал — регулярное тестирование дважды в год.
